活动邀约 | 5月24日来交流AGI时代数据资产如何价值最大化? 了解详情
写点什么

暴露数据库数量创新高,中美占比最多,Redis 排第一

  • 2022-04-29
  • 本文字数:1155 字

    阅读完需:约 4 分钟

暴露数据库数量创新高,中美占比最多,Redis 排第一

BleepingComputer 网站消息,威胁情报和研究公司 Group-IB 共享的一份报告中显示,公开暴露在互联网上的数据库数量近期有所增加 ,从 2021 年的 308000 个持续增长,截至 2022 年第一季度,暴露的数据库峰值数量已达 91200 个,创造了历史记录。


每个季度暴露的数据库数量 (Group-IB)

 

在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。

 

Group-IB 使用其攻击面管理解决方案扫描整个 IPv4 空间来查找与访问数据库相关的开放端口,并检查索引或表是否可用。Group-IB 的攻击面管理产品负责人 Tim Bobak 告诉 BleepingComputer,该公司的解决方案仅限于检查数据库是否暴露,不会收集或分析数据库内容。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。

中美数据库占比最多

 

Group-IB 发现,大多数暴露的数据库都位于美国和中国服务器,德国、法国和印度也占很多。


暴露的数据库实例的热图 (Group-IB)

 

在暴露实例中使用的数据库管理系统中,今年一季度的暴露数量最多的是 Redis,是排名第二的 MongoDB 的近两倍, MySQL 则占比较少。


数据库管理系统类型 (Group-IB)

 

目前这些管理系统已采取措施,在管理员将实例配置为无需密码即可公开访问时会对管理员进行提醒,但目前问题仍然存在。

 

专攻数据库安全的安全研究员 Bob Diachenko 告诉 Bleeping Computer:目前一些数据库供应商引入的 dbms (数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了省略。

 

同时,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让恶意行为者找到实例并窃取其内容。


修复错误配置所需的时间 (Group-IB)

预防措施

 

Group-IB 的 Bobak 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。总结为以下几点:

 

  • 如无必要,确保数据库不公开;

  • 使数据库管理系统保持最新版本,以减少可利用的缺陷;

  • 使用强用户身份验证;

  • 为所有存储的信息部署强大的数据加密协议;

  • 使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;

  • 使用实时数据库监控;

  • 避免使用将数据库暴露给恶意扫描的默认网络端口;

  • 尽可能遵循服务器分段做法;

  • 以加密形式对数据进行离线备份。

 

参考链接:

 

https://www.bleepingcomputer.com/news/security/redis-mongodb-and-elastic-2022-s-top-exposed-databases/

2022-04-29 15:065157

评论

发布
暂无评论
发现更多内容

2022全球AI生物智药大赛赛道二参赛攻略@paipai

阿里云天池

阿里云

数字人直播系统源码是什么?可一次性买断交付吗?

青否数字人

数字人

软件测试学习笔记丨Allure2 报告中添加附件(html)应用场景

测试人

软件测试

软通咨询携手普元电力,共绘企业规范化管理与人才发展新篇章

软通咨询

数字化转型 绩效管理 数字化咨询 数据智能 数字化咨询

最新 Apifox 3 月更新:详解多分支升级、Query 参数支持枚举、自定义快捷键

Apifox

程序员 Apifox API 接口工具 API 工具

DevOps迈向标准化,平台工程让开发运维更轻松

SEAL安全

DevOps 运维 平台工程

【直播】开发者手机切换4.1总结

Laval小助手

网络延迟对事务的影响

GreatSQL

延迟 网络 事务 greatsql

案例研究:如何通过淘宝天猫商品销量数据分析竞争对手

tbapi

淘宝API接口 淘宝商品销量数据接口

青否数字人直播系统源码级交付私有化部署方案来了!

青否数字人

数字人

CQ 社区版2.10.0 | 新增 SQL 审核、全新英文版上线…

BinTools图尔兹

mongodb mongo 数据库管理 SQL审核 SQLite编辑器

百川仓配切量接口成长史

京东科技开发者

基于vite多页面实现多端同构开发和部署

京东科技开发者

ChatTuGraph:通过大模型“与图对话”

TuGraphAnalytics

graph FineTuning Text2GQL

库存控制秘诀:鞋服品牌如何避免库存积压风险

第七在线

手把手带你用香橙派AIpro开发AI推理应用

华为云开发者联盟

华为云 昇腾 华为云开发者联盟 香橙派AIpro AI推理应用

如何用Flask中的Blueprints构建大型Web应用

华为云开发者联盟

Python 开发 华为云 Web应用 华为云开发者联盟

学算法要读《算法导论》吗?

京东科技开发者

PostgreSQL数据迁移至Doris:一站式解决方案

NineData

postgresql Doris 实时数据分析 实时同步 NineData

一站式大数据开发与治理产品实践

Jackchang234987

元数据 大数据平台 数据开发平台 数据中台数据治理

VMware Fusion Pro 13许可证密钥 VM虚拟机如何使用?

Rose

VM虚拟机密钥 VMware Fusion Pro 13密钥 mac虚拟机软件

AI时代来临我们要如何面对?

小齐写代码

大文件上传实践分享

京东科技开发者

是什么阻碍了你的成长

老张

个人成长 职场成长

鸿蒙实训营火爆北京,政企民生、金融、出行等领域的百余家企业积极参与!

最新动态

【论文速读】| 对大语言模型解决攻击性安全挑战的实证评估

云起无垠

系统开发常用的技术栈有什么?

这我可不懂

自定义对象池实践

FunTester

reduce函数20个高级用法 看看你掌握了多少?

高端章鱼哥

AI数字人短视频制作神器来啦!

青否数字人

数字人

WiFi7 technology: IPQ9574 and QCN9274/QCN6274 combine to create the next generation of wireless networks

wifi6-yiyi

ipq9574

暴露数据库数量创新高,中美占比最多,Redis 排第一_架构_闫园园_InfoQ精选文章